Guten Abend.
Ich habe hier den Rechner eines Bekannten, der mit dem GVU-Trojaner befallen ist.
Ich habe bereits mehrfach versucht von einer Boot-CD oder USB zu starten und obwohl die Einstellung im BIOS richtig waren, war es mir nicht möglich von CD oder USB zu starten. Beim letzten Versuch mit Hiren's Boot CD auf CD ist sogar wieder von der Festplatte gestartet worden, obwohl im Bios CD als erstes und einziges Bootlaufwerk eingestellt ist.

Meine Frage:
Was kann ich machen um den GVU-Trojaner dennoch loszuwerden?
Oder aber (da es nur um Datenrettung geht, der Rechner soll danach nicht weiter verwendet werden): Kann ich die Festplatte ausbauen, am neuen Rechner als externe Platte anschließen und die Daten rüberziehen oder riskiere ich damit eine Infektion des neuen Rechners?

Besten Dank schon mal.
Mit freundlichem Gruß
Newjoe

Hi, schaun wir mal, ob das geht:Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

"Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option."

Sorry, mein Fehler, ich hätte erwähnen sollen, dass das noch ein XP-Rechner ist.

Kann man XP in die System Reparatur Option booten?

Ich habe beide runtergeladen, im Bios auf USB (CD und Festplatte auf disabled) umgestellt, aber bekomme die Meldung:

Boot Failure
Reboot and select proper boot device

Genau die gleiche Meldung wie schon bei den vorangegangen Versuchen mit anderen Programmen auf CD, DVD oder USB.

Hi,
versuch mal dies:
Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP)

Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

• Einen funktionierenden Computer
  mit DVD/CD-Brenner
• Einen CD-Rohling.
• Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist.

A) Lade dir bitte die Ultimate Boot CD für Windows

• Speichere es auf deinen Desktop und doppelklicke
  die UBCD4Win.EXE.
• Folge den Anweisungen auf dem Bildschirm.
• Wichtig:
  • Installiere es nicht in einen Ordner mit Leerzeichen!
  • Dein
    Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

• Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win,
  falls du nicht gleich vom Setup dorthin gesprungen bist.
• Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
• 
  Klicke Ich stimme zu, bei der nächsten Frage: Nein
• Im folgenden Menü mache folgende Einstellungen:
  • Quelle: Klicke "..."
    und wähle das Laufwerk aus.
  • Zusätzliches: Lass das hier leer.
  • Zielordner: Hier steht "BartPE", lass das so.
  • Bootmedium: "ISO-Image
    erstellen" sollte angewählt sein - belasse dies so.
  Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
  • Klicke auf Plugins.
  • Deaktiviere
    !Critical: DComLaunch Service
  • Aktiviere !Critical: LargeIDE Fix
  • Klicke: Schliessen
  Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

• Klicke zum Erstellen des Verzeichnisses auf Ja.
• Klicke auf "Ich stimme zu", warte
  einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung

E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick.

F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

• Sorge dafür, dass der Computer von CD startet.
  (Anleitung)
• Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows
  auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
• Wenn der Desktop erscheint, wird eine Nachricht erscheinen:
  Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
• Es erscheint ein
  blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

• Starte FRST mit einem Doppelklick.
• 
  Bestätige die Abfrage.
• Klicke auf Scan
• Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem
  Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Klasse, das hat funktioniert ... hier das Ergebnis:
FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-06-2013 02 (ATTENTION: FRST version is 58 days old)
Ran by SYSTEM on 31-07-2013 15:49:49
Running from D:\
Microsoft Windows XP Service Pack 2 (X86) OS Language: Georgian
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SoundMan] SOUNDMAN.EXE [x]
HKLM\...\Run: [AGRSMMSG] AGRSMMSG.exe [x]
HKLM\...\Run: [Home Theater SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [106496 2005-02-15] (InterVideo Inc.)
HKLM\...\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [233472 2005-02-15] (InterVideo Inc.)
HKLM\...\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe [172032 2004-06-26] (HP)
HKLM\...\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe -hide [165208 2010-05-07] (Logitech Inc.)
HKLM\...\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-01-10] (Avira GmbH)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [421888 2010-11-29] (Apple Inc.)
HKLM\...\Run: [ToolboxFX] "C:\Programme\HP\ToolboxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on [58936 2010-04-16] (Hewlett-Packard Company)
HKLM\...\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [152392 2013-02-20] (Apple Inc.)
Winlogon\Notify\igfxcui: igfxsrvc.dll (Intel Corporation)
Winlogon\Notify\NavLogon: C:\WINDOWS\system32\NavLogon.dll ()
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [136360 2011-04-28] (Avira GmbH)
S2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [269480 2011-06-28] (Avira GmbH)
S2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [57008 2012-12-21] (Apple Inc.)
S2 Bonjour Service; C:\Programme\Bonjour\mDNSResponder.exe [390504 2011-08-30] (Apple Inc.)
S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-02-01] (Google Inc.)
S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-02-01] (Google Inc.)
S2 HP LaserJet Service; C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe [142336 2010-04-12] (HP)
S3 HP Port Resolver; C:\WINDOWS\system32\hpbpro.exe [77824 2004-03-01] (Hewlett-Packard Company)
S3 HP Status Server; C:\WINDOWS\system32\hpboid.exe [73728 2004-03-01] (Hewlett-Packard Company)
S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-03] (Macrovision Corporation)
S3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-02-20] (Apple Inc.)
S2 LVPrcSrv; C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcSrv.exe [162648 2010-05-07] (Logitech Inc.)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [160944 2012-11-09] (Skype Technologies)
S2 TomTomHOMEService; C:\Programme\TomTom HOME 2\TomTomHOMEService.exe [92008 2009-11-13] (TomTom)
S2 winmgmt; C:\DOKUME~1\ALLUSE~1\ANWEND~1\zdv4b.dat [114176 2013-07-04] ()
S2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]

==================== Drivers (Whitelisted) ====================

S3 ALCXWDM; C:\Windows\System32\drivers\ALCXWDM.SYS [2310272 2005-01-28] (Realtek Semiconductor Corp.)
S1 avgio; C:\Programme\Avira\AntiVir Desktop\avgio.sys [11608 2010-06-17] (Avira GmbH)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-06-28] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-06-28] (Avira GmbH)
S3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)
S3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [752093 2004-09-30] (Intel Corporation)
S3 Iviaspi; C:\Windows\System32\drivers\iviaspi.sys [10752 2003-12-25] (InterVideo, Inc.)
S3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25824 2010-05-07] ()
S3 M2500; C:\Windows\System32\DRIVERS\M2500.sys [191360 2003-06-18] (Ralink Technology Inc.)
S3 NABTSFEC; C:\Windows\System32\DRIVERS\NABTSFEC.sys [85248 2008-04-13] (Microsoft Corporation)
S3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)
S3 rtl8139; C:\Windows\System32\DRIVERS\RTL8139.SYS [20992 2004-08-03] (Realtek Semiconductor Corporation)
S3 SLIP; C:\Windows\System32\DRIVERS\SLIP.sys [11136 2008-04-13] (Microsoft Corporation)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
S1 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5632 2006-07-24] ()
S3 streamip; C:\Windows\System32\DRIVERS\StreamIP.sys [15232 2008-04-13] (Microsoft Corporation)
S3 WSTCODEC; C:\Windows\System32\DRIVERS\WSTCODEC.SYS [19200 2008-04-13] (Microsoft Corporation)
S4 Abiosdsk; No ImagePath
S4 abp480n5; No ImagePath
S4 adpu160m; No ImagePath
S4 Aha154x; No ImagePath
S4 aic78u2; No ImagePath
S4 aic78xx; No ImagePath
S4 AliIde; No ImagePath
S4 amsint; No ImagePath
S4 asc; No ImagePath
S4 asc3350p; No ImagePath
S4 asc3550; No ImagePath
S4 Atdisk; No ImagePath
S4 cd20xrnt; No ImagePath
S1 Changer; No ImagePath
S4 CmdIde; No ImagePath
S4 Cpqarray; No ImagePath
S4 dac2w2k; No ImagePath
S4 dac960nt; No ImagePath
S4 dpti2o; No ImagePath
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [x]
S4 hpn; No ImagePath
S1 i2omgmt; No ImagePath
S4 i2omp; No ImagePath
S4 ini910u; No ImagePath
S4 IntelIde; No ImagePath
S1 lbrtfdc; No ImagePath
S4 mraid35x; No ImagePath
S3 NAVAP; \??\C:\Programme\NavNT\NAVAP.sys [x]
S3 PCANDIS5; \??\C:\WINDOWS\System32\PCANDIS5.SYS [x]
S1 PCIDump; No ImagePath
S3 PDCOMP; No ImagePath
S3 PDFRAME; No ImagePath
S3 PDRELI; No ImagePath
S3 PDRFRAME; No ImagePath
S4 perc2; No ImagePath
S4 perc2hib; No ImagePath
S4 ql1080; No ImagePath
S4 Ql10wnt; No ImagePath
S4 ql12160; No ImagePath
S4 ql1240; No ImagePath
S4 ql1280; No ImagePath
S1 SASDIFSV; \??\C:\WINDOWS\TEMP\SAS_SelfExtract\SASDIFSV.SYS [x]
S1 SASKUTIL; \??\C:\WINDOWS\TEMP\SAS_SelfExtract\SASKUTIL.SYS [x]
S4 Simbad; No ImagePath
S4 Sparrow; No ImagePath
S4 symc810; No ImagePath
S4 symc8xx; No ImagePath
S4 sym_hi; No ImagePath
S4 sym_u3; No ImagePath
S4 TosIde; No ImagePath
S4 ultra; No ImagePath
S4 ViaIde; No ImagePath
S3 WDICA; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-31 15:49 - 2013-07-31 15:49 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders ========

2013-07-31 15:49 - 2013-07-31 15:49 - 00000000 ____D C:\FRST
2013-07-31 13:42 - 2012-03-13 13:48 - 00000159 ____A C:\Windows\wiadebug.log
2013-07-31 13:42 - 2012-03-13 13:47 - 00000050 ____A C:\Windows\wiaservc.log
2013-07-31 13:42 - 2010-12-20 17:28 - 00000000 ____D C:\Windows\System32\logishrd
2013-07-31 13:41 - 2010-02-01 17:14 - 00001086 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-31 13:41 - 2005-09-18 06:46 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-31 13:41 - 2003-04-02 12:00 - 00002422 ____A C:\Windows\System32\wpa.dbl
2013-07-31 10:02 - 2012-03-13 13:47 - 00032424 ____A C:\Windows\SchedLgU.Txt
2013-07-31 10:02 - 2012-03-13 13:45 - 01179831 ____A C:\Windows\WindowsUpdate.log
2013-07-23 16:09 - 2009-10-06 18:29 - 00001210 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1677128483-682003330-1003UA.job
2013-07-23 15:03 - 2012-03-17 17:46 - 00000191 ____A C:\Windows\setupact.log
2013-07-23 15:03 - 2012-03-17 17:12 - 00049470 ____A C:\Windows\setupapi.log
2013-07-23 10:19 - 2010-02-01 17:14 - 00001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-23 09:35 - 2012-04-21 18:40 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-04 18:45 - 2011-10-09 13:58 - 00000370 ____A C:\Windows\Tasks\At2.job
2013-07-04 17:09 - 2009-10-06 18:29 - 00001158 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1677128483-682003330-1003Core.job

Files to move or delete:
====================
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2003-04-02 12:00] - [2008-04-14 02:22] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\Windows\System32\winlogon.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\Windows\System32\svchost.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\Windows\System32\services.exe
[2003-04-02 12:00] - [2009-02-09 11:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\Windows\System32\User32.dll
[2003-04-02 12:00] - [2008-04-14 02:22] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\Windows\System32\userinit.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\Windows\System32\Drivers\volsnap.sys
[2003-04-02 12:00] - [2008-04-14 01:52] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points (XP) =====================


==================== Memory info =========================== 

Percentage of memory in use: 45%
Total physical RAM: 991.48 MB
Available physical RAM: 543.66 MB
Total Pagefile: 882.86 MB
Available Pagefile: 571.89 MB
Total Virtual: 2047.88 MB
Available Virtual: 1990.82 MB

==================== Drives ================================

Drive b: (RAMDisk) (Fixed) (Total:0.24 GB) (Free:0.24 GB) FAT
Drive c: (System) (Fixed) (Total:78.13 GB) (Free:55.43 GB) NTFS ==>[Drive with boot components (Windows XP)]
Drive d: (HITMANPRO) (Removable) (Total:7.35 GB) (Free:7.35 GB) FAT32
Drive e: (Daten) (Fixed) (Total:66.41 GB) (Free:14.68 GB) NTFS
Drive x: (UBCD4Windows) (CDROM) (Total:0.62 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 149 GB) (Disk ID: F5B6F5B6)
Partition 1: (Active) - (Size=78 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=66 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=204 MB) - (Type=88)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: 7A8FF834)
Partition 1: (Active) - (Size=7 GB) - (Type=0B)

==================== End Of Log ============================
         

--- --- ---

Hi,
es sind meherere Schritte auszuführen, mache dies nach Reihenfolge, stoppe bei Problemen.
poste Logs und Erfolgsmeldungen möglichst gleichzeitig.
1.
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\DOKUME~1\ALLUSE~1\ANWEND~1\zdv4b.dat
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

2.
http://download.bleepingcomputer.com...xp/winmgmt.reg
Datei laden, doppelklicken, Nachfrage bestätigen, neustarten.
3.
Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel
4.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


5. Poste nun Farbas Fixlog, tdss Killer Log, Rückmeldung ob Upload geklappt hatt

Bevor ich loslege:

Was genau verstehst Du unter:

"Starte deinen Rechner erneut in die Reparaturoptionen"?

Der Begriff ist mir so nicht geläufig und ich frag lieber nach, bevor ich was falsches mache.

Besten Dank auf jeden Fall schon mal!

Hi,
einfach frst starten, wie du es zum erstellen des Logs gemacht hast.

Hi,
jetzt hab ich endlich Zeit gefunden weiterzumachen
Schritt 1 ist erledigt ... hier das Ergebnis:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-06-2013 02
Ran by SYSTEM at 2013-08-05 10:23:09 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

C:\Windows\Tasks\At1.job => Moved successfully.
C:\Windows\Tasks\At2.job => Moved successfully.
C:\Windows\Tasks\At3.job => Moved successfully.
C:\Windows\Tasks\At4.job => Moved successfully.
C:\DOKUME~1\ALLUSE~1\ANWEND~1\zdv4b.dat => Moved successfully.

==== End of Fixlog ====

Soll ich jetzt mit Schritt 2 weitermachen?

Auch die Schritte 2+3 sind erledigt.

Bei Schritt 4 gibt es ein Problem.

Wenn ich die tdsskiller.exe starte erhalte ich erst

Can't initalize log

dann

Can't load drivers

Ich kann den Scan dann starten, aber es wird wohl keine log erstellt ... zumindest finde ich
keine ... Was tun?

Machen wir erst mal folgenes:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Das funktioniert leider auch nicht:

Es kamen unzählige Fehlermeldung, dass irgendwelche Ordner nicht geöffnet werden könnten, allesamt auf Laufwerk X, wo das von CD gestartet XP liegt. Nachdem ich alle ignoriert habe, lief der Installationsbalken fast bist nach rechts, ist jetzt aber hängengeblieben und es passiert gar nichts mehr.

Hi,
du solltest ja auch nicht von der cd aus arbeiten sondern ganz normal starten, das sollte gehen.
Wenn du auch tdss killer nicht im Windows ausgeführt hast, dann dies auch noch mal versuchen

Wenn ich von Festplatte starte schaltet sich leider wieder der GVU-Trojaner ein.

Dann poste ein neues FRST Log

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-06-2013 02 (ATTENTION: FRST version is 63 days old)
Ran by SYSTEM on 05-08-2013 17:16:50
Running from G:\
Microsoft Windows XP Service Pack 2 (X86) OS Language: Georgian
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SoundMan] SOUNDMAN.EXE [x]
HKLM\...\Run: [AGRSMMSG] AGRSMMSG.exe [x]
HKLM\...\Run: [Home Theater SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [106496 2005-02-15] (InterVideo Inc.)
HKLM\...\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [233472 2005-02-15] (InterVideo Inc.)
HKLM\...\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe [172032 2004-06-26] (HP)
HKLM\...\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe -hide [165208 2010-05-07] (Logitech Inc.)
HKLM\...\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-01-10] (Avira GmbH)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [421888 2010-11-29] (Apple Inc.)
HKLM\...\Run: [ToolboxFX] "C:\Programme\HP\ToolboxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on [58936 2010-04-16] (Hewlett-Packard Company)
HKLM\...\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [152392 2013-02-20] (Apple Inc.)
Winlogon\Notify\igfxcui: igfxsrvc.dll (Intel Corporation)
Winlogon\Notify\NavLogon: C:\WINDOWS\system32\NavLogon.dll ()
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [136360 2011-04-28] (Avira GmbH)
S2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [269480 2011-06-28] (Avira GmbH)
S2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [57008 2012-12-21] (Apple Inc.)
S2 Bonjour Service; C:\Programme\Bonjour\mDNSResponder.exe [390504 2011-08-30] (Apple Inc.)
S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-02-01] (Google Inc.)
S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [135664 2010-02-01] (Google Inc.)
S2 HP LaserJet Service; C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe [142336 2010-04-12] (HP)
S3 HP Port Resolver; C:\WINDOWS\system32\hpbpro.exe [77824 2004-03-01] (Hewlett-Packard Company)
S3 HP Status Server; C:\WINDOWS\system32\hpboid.exe [73728 2004-03-01] (Hewlett-Packard Company)
S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-03] (Macrovision Corporation)
S3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-02-20] (Apple Inc.)
S2 LVPrcSrv; C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcSrv.exe [162648 2010-05-07] (Logitech Inc.)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [160944 2012-11-09] (Skype Technologies)
S2 TomTomHOMEService; C:\Programme\TomTom HOME 2\TomTomHOMEService.exe [92008 2009-11-13] (TomTom)
S2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]
S2 winmgmt; C:\DOKUME~1\ALLUSE~1\ANWEND~1\zdv4b.dat [x]

==================== Drivers (Whitelisted) ====================

S3 ALCXWDM; C:\Windows\System32\drivers\ALCXWDM.SYS [2310272 2005-01-28] (Realtek Semiconductor Corp.)
S1 avgio; C:\Programme\Avira\AntiVir Desktop\avgio.sys [11608 2010-06-17] (Avira GmbH)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-06-28] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-06-28] (Avira GmbH)
S3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)
S3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [752093 2004-09-30] (Intel Corporation)
S3 Iviaspi; C:\Windows\System32\drivers\iviaspi.sys [10752 2003-12-25] (InterVideo, Inc.)
S3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25824 2010-05-07] ()
S3 M2500; C:\Windows\System32\DRIVERS\M2500.sys [191360 2003-06-18] (Ralink Technology Inc.)
S3 NABTSFEC; C:\Windows\System32\DRIVERS\NABTSFEC.sys [85248 2008-04-13] (Microsoft Corporation)
S3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)
S3 rtl8139; C:\Windows\System32\DRIVERS\RTL8139.SYS [20992 2004-08-03] (Realtek Semiconductor Corporation)
S3 SLIP; C:\Windows\System32\DRIVERS\SLIP.sys [11136 2008-04-13] (Microsoft Corporation)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
S1 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5632 2006-07-24] ()
S3 streamip; C:\Windows\System32\DRIVERS\StreamIP.sys [15232 2008-04-13] (Microsoft Corporation)
S3 WSTCODEC; C:\Windows\System32\DRIVERS\WSTCODEC.SYS [19200 2008-04-13] (Microsoft Corporation)
S4 Abiosdsk; No ImagePath
S4 abp480n5; No ImagePath
S4 adpu160m; No ImagePath
S4 Aha154x; No ImagePath
S4 aic78u2; No ImagePath
S4 aic78xx; No ImagePath
S4 AliIde; No ImagePath
S4 amsint; No ImagePath
S4 asc; No ImagePath
S4 asc3350p; No ImagePath
S4 asc3550; No ImagePath
S4 Atdisk; No ImagePath
S4 cd20xrnt; No ImagePath
S1 Changer; No ImagePath
S4 CmdIde; No ImagePath
S4 Cpqarray; No ImagePath
S4 dac2w2k; No ImagePath
S4 dac960nt; No ImagePath
S4 dpti2o; No ImagePath
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [x]
S4 hpn; No ImagePath
S1 i2omgmt; No ImagePath
S4 i2omp; No ImagePath
S4 ini910u; No ImagePath
S4 IntelIde; No ImagePath
S1 lbrtfdc; No ImagePath
S4 mraid35x; No ImagePath
S3 NAVAP; \??\C:\Programme\NavNT\NAVAP.sys [x]
S3 PCANDIS5; \??\C:\WINDOWS\System32\PCANDIS5.SYS [x]
S1 PCIDump; No ImagePath
S3 PDCOMP; No ImagePath
S3 PDFRAME; No ImagePath
S3 PDRELI; No ImagePath
S3 PDRFRAME; No ImagePath
S4 perc2; No ImagePath
S4 perc2hib; No ImagePath
S4 ql1080; No ImagePath
S4 Ql10wnt; No ImagePath
S4 ql12160; No ImagePath
S4 ql1240; No ImagePath
S4 ql1280; No ImagePath
S1 SASDIFSV; \??\C:\WINDOWS\TEMP\SAS_SelfExtract\SASDIFSV.SYS [x]
S1 SASKUTIL; \??\C:\WINDOWS\TEMP\SAS_SelfExtract\SASKUTIL.SYS [x]
S4 Simbad; No ImagePath
S4 Sparrow; No ImagePath
S4 symc810; No ImagePath
S4 symc8xx; No ImagePath
S4 sym_hi; No ImagePath
S4 sym_u3; No ImagePath
S4 TosIde; No ImagePath
S4 ultra; No ImagePath
S4 ViaIde; No ImagePath
S3 WDICA; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-31 15:49 - 2013-08-05 11:26 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders ========

2013-08-05 15:44 - 2005-09-18 07:30 - 00000000 ___RD C:\Programme
2013-08-05 15:39 - 2005-09-18 08:28 - 00000337 _RASH C:\boot.ini
2013-08-05 14:56 - 2012-03-13 13:45 - 01182347 ____A C:\Windows\WindowsUpdate.log
2013-08-05 14:53 - 2012-03-13 13:48 - 00000159 ____A C:\Windows\wiadebug.log
2013-08-05 14:53 - 2012-03-13 13:47 - 00000050 ____A C:\Windows\wiaservc.log
2013-08-05 14:53 - 2010-12-20 17:28 - 00000000 ____D C:\Windows\System32\logishrd
2013-08-05 14:52 - 2010-02-01 17:14 - 00001086 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-08-05 14:51 - 2005-09-18 06:46 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-08-05 14:51 - 2003-04-02 12:00 - 00002422 ____A C:\Windows\System32\wpa.dbl
2013-08-05 11:26 - 2013-07-31 15:49 - 00000000 ____D C:\FRST
2013-07-31 10:02 - 2012-03-13 13:47 - 00032424 ____A C:\Windows\SchedLgU.Txt
2013-07-23 16:09 - 2009-10-06 18:29 - 00001210 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1677128483-682003330-1003UA.job
2013-07-23 15:03 - 2012-03-17 17:46 - 00000191 ____A C:\Windows\setupact.log
2013-07-23 15:03 - 2012-03-17 17:12 - 00049470 ____A C:\Windows\setupapi.log
2013-07-23 10:19 - 2010-02-01 17:14 - 00001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-23 09:35 - 2012-04-21 18:40 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2003-04-02 12:00] - [2008-04-14 02:22] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\Windows\System32\winlogon.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\Windows\System32\svchost.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\Windows\System32\services.exe
[2003-04-02 12:00] - [2009-02-09 11:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\Windows\System32\User32.dll
[2003-04-02 12:00] - [2008-04-14 02:22] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\Windows\System32\userinit.exe
[2003-04-02 12:00] - [2008-04-14 02:23] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\Windows\System32\Drivers\volsnap.sys
[2003-04-02 12:00] - [2008-04-14 01:52] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points (XP) =====================


==================== Memory info =========================== 

Percentage of memory in use: 44%
Total physical RAM: 991.48 MB
Available physical RAM: 545.45 MB
Total Pagefile: 882.86 MB
Available Pagefile: 574.26 MB
Total Virtual: 2047.88 MB
Available Virtual: 1991.82 MB

==================== Drives ================================

Drive b: (RAMDisk) (Fixed) (Total:0.24 GB) (Free:0.24 GB) FAT
Drive c: (System) (Fixed) (Total:78.13 GB) (Free:55.33 GB) NTFS ==>[Drive with boot components (Windows XP)]
Drive f: (Daten) (Fixed) (Total:66.41 GB) (Free:14.68 GB) NTFS
Drive g: (HITMANPRO) (Removable) (Total:7.35 GB) (Free:7.35 GB) FAT32
Drive x: (UBCD4Windows) (CDROM) (Total:0.62 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 149 GB) (Disk ID: F5B6F5B6)
Partition 1: (Active) - (Size=78 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=66 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=204 MB) - (Type=88)

========================================================
Disk: 3 (Size: 7 GB) (Disk ID: 7A8FF834)
Partition 1: (Active) - (Size=7 GB) - (Type=0B)

==================== End Of Log ============================
         

--- --- ---